Kerberos简单介绍及使用

已于 2023-02-12 19:29:07 修改
阅读量1.8k 收藏 2
点赞数 2
分类专栏: bigdata 文章标签: 大数据 安全
于 2023-02-12 19:28:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/justclimbing/article/details/128998524
版权

Kerberos作用

简单来说安全相关一般涉及以下方面:用户认证(Kerberos的作用)、用户授权、用户管理.。而Kerberos功能是用户认证,通俗来说解决了证明A是A 的问题。

认证过程(时序图)

核心角色/概念

  • KDC:密钥分发巾心,负责管理发放票据,记录授权。

  • Realm: Kerberos管理领域的标识。

  • principal:Kerberos 下的用户可以称为 Principal,当每添加一个用户或服务的时候都需要向kdc添加一条principal, principal的形式为:主名称/实例名@领域名。
    1)用户principal
    用户principal的形式:
    Name[/Instance]@REALM
    其中Instance是可选 的,通常用于更好地限定用户的类型。比如,一个管理员用户通常会有admin instance,即Name/admin@REALM。
    下面是指代用户的 一些principal的例子:
    pippo@EXAMPLE.COM
    admin/admin@EXAMPLE.COM
    cnicetoupp/admin@EXAMPLE.COM
    2)服务principal
    用户principal的形式:
    Service/Hostname@REALM
    第一部分是service的名字,比如imap, AFS, ftp. 通常’host’这个名字被用于指明对一台机器的通用的访问(telnent, rsh, ssh)。
    第二个component是提供这个服务的机器的全限定域名(FQDN)。这个component跟DNS对应用服务器的IP地址进行逆向解析后得到的主机名。
    下面是指代服务principal的例子:
    imap/hadoop-node1@EXAMPLE.COM
    host/hadoop-node1@EXAMPLE.COM
    afs/hadoop-node1@EXAMPLE.COM

  • 主名称:主名称可以是用户名或服务名,表示是用于提供各种网络服务(如hdfs、yam,、hive) 的主体。

  • 实例名:实例名简单理解为主机名。

  • keytab文件:存储了用户的加密密码。常用这种方式认证。

常用认证相关命令

  1. 登录控制台

    kadmin.local

  2. 用户创建

    kadmin.local -q "addprinc -pw 111111 testuser"

  3. 用户生成授权

    kadmin.local -q "xst -k user.keytab user@BLUE.COM"

  4. 使用授权

    kinit  test.keytab testuser@xxx.com

  5. 查看当前认证信息

    klist

  6. 销毁当前认证

     kdestory

官方使用文档

详细的官方使用文档、命令可以参考官方链接:[https://web.mit.edu/kerberos/krb5-latest/doc/](https://web.mit.edu/kerberos/krb5-latest/doc/)

win客户端,访问Kerberos大数据组件页面

参考链接: https://blog.csdn.net/qq_40341628/article/details/84991443

  1. 下载客户端安装 http://web.mit.edu/kerberos/dist/
  2. 复制远程服务器/etc/krb5.conf里面的内容到本机:C:\ProgramData\MIT\Kerberos5\krb.ini

大数据组件相关问题

  • hive server2 web ui 无法访问 logs路径: 官方bug,链接: https://issues.apache.org/jira/browse/HIVE-14737

参考链接

https://www.cnblogs.com/liugp/p/16468514.html

备注

IT 内容具有时效性,未避免更新后未同步,请点击查看最新内容: Kerberos 简单介绍及使用

文章首发于: http://nebofeng.com/2023/02/12/kerberos%e7%ae%80%e5%8d%95%e4%bb%8b%e7%bb%8d%e5%8f%8a%e4%bd%bf%e7%94%a8/

nebofeng
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
remctl:使用ACL进行远程身份验证的命令执行
05-06
建议3.17 版权所有2015-2020 Russ Allbery 。 版权所有2002-2014 Leland Stanford Junior University董事会。 该软件以BSD样式的许可证分发。 请参阅下面的部分以获取更多信息。 模糊 remctl是一个客户端/服务器应用程序,它支持使用Kerberos GSS-API进行身份验证的特定命令的远程执行。 授权受配置文件和ACL文件控制,并且可以与rsh不同,分别为每个命令设置授权。 remctl就像是经过Kerberos认证的简单CGI服务器,或者是Kerberos ssh和sudo的组合,而没有两者的大多数功能和复杂性。 描述 remctl是一个客户端/服务器应用程序,它支持使用Kerberos GSS-API进行身份验证和机密性的特定命令的远程执行。 与rsh不同,给定用户可以执行的命令由配置文件和ACL文件控制,并且
Kerberos认证原理与使用教程
m0_46168848的博客
02-21 6578
Kerberos认证原理与使用教程
kerberos学习系列一:原理
最新发布
qwerty1372431588的博客
03-06 1036
Kerberos 一词来源于古希腊神话中的 Cerberus —— 守护地狱之门的三头犬。Kerberos 是一种基于加密 Ticket 的身份认证协议。Kerberos 主要由三个部分组成:Key Distribution Center (即KDC)、Client 和 Service。
小白快速掌握Hadoop集成Kerberos安全技术频教程
11-04
手把手视频详细讲解项目开发全过程,需要的小伙伴自行百度网盘下载,链接见附件,永久有效。 课程简介 从零学习Kerberos安全认证机制,并和Hadoop、YARN、HIVE进行集成,通过知识点 + 案例教学法帮助小白快速掌握Hadoop集成Kerberos安全技术。 课程亮点 1,专项攻破Hadoop安全配置。 2,生动形象,化繁为简,讲解通俗易懂。 3,全程实操,边操作边讲解,不再只听概念。 适用人群 1、对大数据安全机制方面技术感兴趣的在校生及应届毕业生。 2、Hadoop从业者,希望进一步提升个人技能,拓展职业路线。 3、对大数据行业感兴趣的相关人员。 课程内容 第一章 Kerberos简介 第二章 环境准备 2.1 使用软件版本信息介绍 2.2 节点架构介绍 2.3 基础系统环境准备 第三章 Kerberos框架搭建 3.1 Kerberos Server搭建 3.2 Kerberos Client搭建 3.3 规划principal 第四章 配置HDFS和Kerberos的集成 第五章 配置YARN和Kerberos的集成 第六章 配置HIVE和Kerberos的集成 第七章 最终集成测试验收成果
Kerberos简介
05-06
Kerberos简单介绍 Kerberos Kerberos Kerberos Kerberos Kerberos Kerberos Kerberos Kerberos Kerberos Kerberos
NodeJSExpressMongoDB:这是一个简单的演练,介绍了如何将node js与express和mongo db一起使用
04-30
NodeJS Express MongoDB 这是一个简单的演练,介绍了如何将Node JS与Express和MongoDB结合使用。 安装 快速发电机 npm install -g express-generator 项目创建 转到您希望站点所在的目录。 我们将使用嵌入式js模板。 这将创建一个快递项目。 express <project> --view=ejs -c less 相依性 转到package.json,在“依赖项”部分中,添加以下内容。 " kerberos " : " ~0.0.17 " , " mongodb " : " ~2.2.16 " 在节点js cmd上, cd <project> npm install 存储库中不包含node_modules文件夹。 运行上述命令后,将自动创建该文件夹。 如果显示您使用的版本太旧,请按照提示输入
【Hadoop】通俗易懂 Kerberos原理
康师傅没有眼泪
05-26 5079
Hadoop 使用Kerberos作为用户和服务的强身份验证和身份传播的基础。Kerberos 是一种计算机网络认证协议,它允许某实体在非安全网络环境下通信,向另一个实体以一种安全的方式证明自己的身份。Kerberos 是第三方认证机制,其中用户和服务依赖于第三方(Kerberos 服务器)来对彼此进行身份验证。Kerberos服务器本身称为密钥分发中心或 KDC。
kerberos入坑指南
mark's technic world
03-14 1554
原理介绍 kerberos主要是用来做网络通信时候的身份认证,最主要的特点就是“复杂”。所以在入坑kerberos之前,最好先熟悉一下其原理。这里推荐一些别人写的文章内容来进行简单汇总: 链接kerberos认证原理用对话场景来解释kerbeors的设计过程 简图 kerberos认证流程简图 几个概念的补充 principal 认证的主体,简单来说就...
kafka实战kerberos(笔记
qq_44912603的博客
12-23 494
环境 版本:kafka_2.12-2.3.0 主机名:orchome LSB Version: :core-4.1-amd64:core-4.1-noarch Distributor ID: CentOS Description: CentOS Linux release 7.5.1804 (Core) Release: 7.5.1804 Codename: Core Linux version 3.10.0-862.el7.x86_64 ([email protected])
大数据Kerberos认证与kafka开启Kerberos配置
m0_46168848的博客
08-06 6835
Kerberos 是一种计算机网络认证协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。这个词又指麻省理工学院为这个协议开发的一套计算机软件。软件设计上采用客户端/服务器结构,并且能够进行相互认证,即客户端和服务器端均可对对方进行身份认证。可以用于防止窃听、防止重放攻击、保护数据完整性等场合,是一种应用对称密钥体制进行密钥管理的系统。.........
kerberos关键知识点
踏云追月
09-14 836
参考以下资料,及《OReilly.Architecting.Modern.Data.Platforms》 https://www.cnblogs.com/wn1m/p/10700466.html https://www.jianshu.com/p/fc2d2dbd510b https://help.aliyun.com/document_detail/89886.html?spm=a2c4g.11186623.4.1.37a6b019HkcGLQ kerberos是一个网络通信身份认证,包含u.
kerberos 配置
既认准这条路,又何必在意要走多久
04-21 1万+
kerberos 安装配置使用
kerberos原理及使用
sanbudeyu_008的博客
05-05 2826
介绍kerberos的原理、配置、重要的命令行
Kerberos 入门与常用操作 浅析
张伯毅的专栏
02-27 2043
.一 .前言二 .Kerberos认证流程三 .Kerberos Principal四 .Kerberos的优点和不足4.1. 优点4.2. 不足五. KOC常用操作六.Client常用操作 一 .前言 Kerberos协议是 一种计算机网络授权协议, 用于在非安全的网络环境下对个人通信进行加密认证。 Kerberos 通过定义用户 和 服务端所使用的认证身份 (Principal) 来进行访问控制, 用户通过 Kerberos 客户端使用自己的 Principal 向认证服务器进行 身份的认证, 认证
Keberos安全认证学习
JY_He的博客
05-07 1359
因为,最近要做大数据组件的安全认证,需要涉及到kerberos这个组件,记录相关资料,后续查看。 Kerberos 是一种网络认证协议,它采用了传统的共享密钥的方式,实现了在网络环境不一定保证安全的环境下,client和server之间的通信,适用于client/server模型。用户只需输入一次身份验证信息,就可凭借此验证获得的票据授予票据(ticket-granting ticket)访问多...
Kerberos协议详解
热门推荐
做自己喜欢的事,并将其发挥到极致!
09-13 1万+
Kerberos协议是一个专注于验证通信双方身份的网络协议,不同于其他网络安全协议的保证整个通信过程的传输安全Kerberos侧重于通信前双方身份的认定工作,帮助客户端以及服务端验证是真正的自己并非他人,从而使得通信两端能够完全信任对方的身份,在一个不安全的网络中完成一次安全的身份认证继而进行安全的通信。Kerberos是一种计算机网络认证协议,其设计目标是通过密钥系统为网络中通信的客户机(Client)/服务器(Server)应用程序提供严格的身份验证服务,确保通信双方身份的真实性和安全性。
Kerberos从入门到精通以及案例实操系列(一)
prefect_start的博客
06-05 5201
整个kerberos认证的过程较为复杂,三次通信中都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,即使密钥被劫持,等到密钥被破解可能这次会话都早已结束,这为整个kerberos认证过程保证了较高的安全性。kerberos认证的整体流图kerberos认证的时序图本地登录(无需认证)远程登录(需进行主体认证,认证操作见下文)退出输入:exit2. 创建Kerberos主体。
kerberos认证_Kerberos应用
weixin_39949607的博客
11-23 734
环境说明Ambari 2.6.1.0HDP 2.6.4Kerberos 1.14.1前言前面的文章介绍了《Kerberos原理——经典对话》、《Kerberos基本概念及原理汇总》、《基于ambari的Kerberos安装配置》、《Windows本地安装配置Kerberos客户端》,已经成功安装了Kerberos KDC server,也在Ambari上启用了Kerberos,接下来我们再来研究一...
Kerberos协议
EDDJH_31的博客
08-01 710
前几天在复现MS14_068漏洞时,发现漏洞原理跟Kerberos协议有关,当时就大致看了一下。今天下午突然看到Kerberos协议的时候,发现自己对协议还是不太明白,所以在网上找了些资料认真看了一下,做个总结跟大家分享一下 Kerberos(/ˈkərbərəs/)是一种计算机网络授权协议,用来在非安全网络中,对个人通信以安全的手段进行身份认证。 协议的安全主要依赖
kerberos hadoop认证简单教程
09-13
Kerberos Hadoop认证是一种基于Kerberos协议的Hadoop集群安全验证机制。下面是一个简单的教程来介绍如何配置和使用Kerberos Hadoop认证。 步骤1:安装Kerberos 首先,需要在Hadoop集群上安装和配置Kerberos。安装Kerberos包,并设置Kerberos配置文件。确保所有节点上的Kerberos配置文件都是相同的。 步骤2:配置Hadoop 在Hadoop的配置文件中,进行以下更改: - 将"security.authentication"设置为"kerberos",以启用Kerberos认证。 - 设置"security.authorization"为"true",启用Hadoop中的授权功能。 - 配置Kerberos相关的参数,如"dfs.namenode.kerberos.principal"和"dfs.namenode.keytab.file"等。 步骤3:生成和分发Kerberos认证凭证 使用Kerberos的"Kadmin"工具,创建和管理Kerberos主体和密钥表。为Hadoop服务和用户创建主体,并生成相应的密钥表文件。然后,将密钥表文件分发给Hadoop集群中的所有节点。 步骤4:配置Hadoop服务 在每个Hadoop服务的配置文件中,指定相应的Kerberos主体和密钥表文件。这将使得Hadoop服务能够通过Kerberos协议进行认证和授权。 步骤5:启动Hadoop集群 在所有节点上启动Hadoop集群。Hadoop服务会自动使用Kerberos认证配置进行验证。 步骤6:测试认证 使用Hadoop命令行工具或Web界面进行测试。输入有效的Kerberos主体和密码,确保能够访问和执行Hadoop操作。 需要注意的是,Kerberos Hadoop认证需要一些许可证和安全设置。此外,Kerberos的配置步骤可能因不同的操作系统和Hadoop版本而有所不同。因此,在实际部署和使用中,可能需要参考具体的操作指南和文档。 总结来说,Kerberos Hadoop认证是一种通过Kerberos协议确保Hadoop集群安全性的机制。通过正确配置和使用Kerberos,可以保护集群免受未授权的访问和数据泄露的威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值